Ambiente Interno

O ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão (COSO, 2007).

Essa dimensão define o fazer correto e a influência que a organização exerce sobre a consciência de seu pessoal, além de contemplar outros itens como a percepção de responsabilidades, limites de autoridades e das competências (DIAS, 2006).

É um componente do modelo que demonstra como a organização está transmitindo a importância do sistema de controle interno, além de influenciar e embasar todos os demais componentes que nele operam e a confiança das pessoas envolvidas (ANTUNES, 2004, P. 105), provendo disciplina e estrutura na qual as pessoas conduzem cotidianamente suas atividades e executam suas responsabilidades, além de ser moldado pela história e cultura da organização e molda, de maneira explícita ou não, a maneira como os negócios são conduzidos (MEDEIROS, 2014).

3.2.2

Fixação de objetivos

Os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos (COSO, 2007).

Por serem uma preconização da identificação de eventos, da avaliação de riscos e das respostas aos riscos, estes objetivos devem estar correlacionados e segregados em categorias como: estratégicos, operacionais, comunicação e conformidade (COSO, 2009).

Estratégicos referem-se à definição dos rumos da organização. Os operacionais estão atrelados a subobjetivos de eficácia e eficiência operacional com vistas ao atingimento da meta final da organização. Os de comunicação dizem respeito ao aumento da confiabilidade

dos relatórios, sejam eles internos ou externos. Os de conformidade delimitam o como a administração cumprirá as leis e regulamentos aplicáveis ao ambiente em que atua (COSO, 2009).

É importante aliar os objetivos definidos com o apetite a riscos e nível de tolerância a riscos da organização. O primeiro é um marco de referência na fixação da estratégia, onde se deve equilibrar crescimento, risco e retorno, ou, ainda, medidas de valor agregado de acionistas ajustadas aos riscos. Já o segundo (tolerância) refere-se ao intervalo aceitável de variação para o atingimento de um determinado objetivo (COSO, 2009).

Na administração pública, embora os objetivos gerais sejam definidos pela legislação, é importante o detalhamento destes em subobjetivos para que a administração de cada entidade ou órgão público trilhe um caminho bem planejado, nos moldes definidos pelo modelo COSO. Devendo estes subobjetivos serem desdobrados em ações e metas até o nível de planos de trabalho (MEDEIROS, 2014).

3.2.3

Identificação de Eventos

Evento é uma ocorrência ou mudança em um conjunto de especifico de circunstâncias e pode consistir em uma ou mais ocorrências, podendo ter várias causas, em alguma coisa não ocorrer ou algumas vezes pode ser referido como um incidente ou um acidente (NBR ISO 31000).

Os eventos internos e externos à organização que influenciam o cumprimento dos objetivos devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos (COSO, 2007).

O processo de identificação de riscos perpassa, necessariamente, pela busca das fontes de riscos, eventos, suas causas e consequências potenciais. Processo este que pode ser feito por meio de dados históricos, análise teóricas, opiniões de pessoas informadas e especialistas, além das necessidades das partes interessadas (NBR ISO 31000).

Para o COSO (2009) são incidências ou ocorrências originadas de fontes internas ou externas que afetem a implementação da estratégia ou a realização dos objetivos, podendo gerar impacto positivo, negativo ou ambos, possuem um dose de incerteza, ou seja, não se sabe quando ocorrerá, nem o impacto que gerará, caso ocorra.

Existem diversos fatores, internos e externos, que podem influenciar na identificação dos eventos, tais como: econômicos, relacionados ao meio ambiente, políticos, sociais, tecnológicos, de infraestrutura, de pessoal e dos processos internos (COSO, 2009).

Para a identificação destes eventos existem algumas técnicas que são sugeridas pelo COSO (2009), tais como: inventário de eventos, trata-se de um levantamento detalhado dos eventos potências; análise interna, normalmente, realizada no ciclo de planejamento de negócios por meio de reuniões dos responsáveis pelas unidades avaliadas; e análise do fluxo do processo, que consiste em mapear e modelar os processos internos e depois identificar os gargalos existentes.

3.2.4

Avaliação de Riscos

Os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais, bem como necessário se faz comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e sua magnitude são toleráveis pela administração da organização (COSO, 2007; NRB ISO 31000).

A partir deste processo de avaliação que se chega às decisões de quais tratamentos serão dados aos riscos identificados.

Em outras palavras, é nessa etapa em que se aplicam técnicas necessárias para se avaliar a probabilidade (chance de o evento ocorrer) e o impacto (consequência) e, com isso, chagar-se ao nível de risco para cada evento, em seguida elaborar ranking para melhor auxiliar o gestor nas decisões de tratamento (mitigar, transferir, evitar ou compartilhar).

A administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco (COSO, 2007).

Nesse componente são elencados os tratamentos a serem dados aos riscos identificados nas etapas de identificação de eventos e avaliação de riscos, cujos componentes são de mesmo nome. Em outras palavras, significa um processo que visa modificar o risco (NBR ISO 31000).

É nesse momento em que a organização (em nível estratégico) e seus servidores (em nível de atividades) decidem os possíveis tratamentos a serem dados aos riscos identificados na etapa de Identificação e Eventos e avaliados na etapa de Análise dos Riscos, podendo enquadrar estes tratamentos em evitar, reduzir, compartilhar ou aceitar. Evitar é descontinuar as atividades que geram riscos, reduzir é representado pelas medidas que são tomadas para minimizar a probabilidade ou o impacto, ou ambos, compartilhar é transferir todo ou uma parcela do risco envolvido e, por fim, aceitar é não adotar nenhuma medida que afete a probabilidade ou o impacto dos riscos (COSO ERM, 2009).

Claro que quaisquer das repostas acima devem ser avaliadas pela administração tomando por base os seguintes pontos: a) os efeitos das respostas potenciais sobre a probabilidade e o impacto, verificando se são compatíveis com as tolerâncias a risco da organização; b) examinar os custos versus benefícios de cada potencial tratamento; e c) considerar que as possíveis oportunidades de a administração alcançar seus objetivos vão além de lidar com o risco específico (COSO ERM, 2009).

3.2.6

Atividades de Controle

Políticas e procedimentos são estabelecidos e implementados pela administração para assegurar que as respostas aos riscos sejam executadas com eficácia. Isso representa a melhor maneira de se tratar o risco identificado (COSO, 2007). São exemplos de atividades de controle a segregação de funções, as conciliações, a avaliação de desempenho operacional e a gestão, dentre outras que proporcionem condições para assegurar que as diretrizes emanadas da administração estejam sendo aplicadas e obedecidas (INTOSAI, 2007; ANTUNES, 2004, p. 106).

Essas atividades de controle estão totalmente interligadas com as respostas a riscos, já que àquelas visam assegurar que estas sejam executadas. Outro fator relevante é que as atividades de controle nem sempre se relacionam com uma só categoria de objetivos, dependendo das circunstâncias, uma determinada atividade de controle pode ajudar a atender aos objetivos da organização em mais de uma categoria, seja estratégico, operacional, de comunicação ou de conformidade (COSO, 2009).

3.2.7

Informação e Comunicação

Os métodos e registros das informações relevantes necessários para identificar, colher, classificar e comunicar estão obedecendo à tempestividade e impedindo erros ou classificações indevidas nas asserções da administração. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos os níveis da organização de forma que as pessoas cumpram suas responsabilidades em relação aos controles internos (COSO, 2007; ANTUNES, 2004, P. 106).

Este componente traduz pilares necessários à coleta, ao tratamento e à disseminação de informações relevantes internas e externas à organização. Toda entidade identifica e coleta inúmeras informações relacionadas a atividades e eventos pertinentes à administração. Estas informações devem ser transmitidas ao pessoal numa forma e no prazo para que lhes permitam desempenhar suas responsabilidades na gestão dos riscos corporativos e em outras atividades. Entretanto, não significa que os sistemas de informações são estáticos, muito pelo contrário, eles devem dinâmicos para poder modificarem-se conforme o necessário para dar suporte aos novos objetivos (COSO, 2009).

3.2.8

Monitoramento

A integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas, contemplando análises sobre o

desempenho de sistemas, a tempestividade de operação dos controles e a adoção de ações corretivas. Isso deve ocorrer no curso normal das atividades (COSO, 2007; ANTUNES, 2004, P. 106).

O monitoramento pode dar-se de duas formas: mediante atividades contínuas ou por meio de avaliações independentes. As primeiras são atividades de gestão e são conduzidas pelos gerentes no curso normal do negócio, podendo se dar por meio de análises de variância, comparações das informações vindas de fontes discrepantes e abordagem a ocorrências imprevistas. No mais, estas atividades não se confundem com àquelas necessárias ao cumprimento da política nos processos de negócio. Já as segundas (avaliações independentes), podem variar em termos de escopo e frequência com que se realizam, a depender do nível de importância dado aos riscos. Quem executa estas avaliações normalmente são os responsáveis por uma determinada unidade, já a auditoria interna o faz por dever funcional, ou mediante solicitação específica do Conselho de Administração, Comitê de Auditoria ou Diretoria Executiva (COSO ERM, 2009).